이번 포스팅은 최근 발견된 Next.js 취약점을 소개해 드리겠습니다.

의료기기 웹 서비스, 정말 안전한가?

CVE-2025-55182 & CVE-2025-66478 긴급 점검

의료기기 소프트웨어는 더 이상 독립적인 장비가 아닙니다. 웹 대시보드, 클라우드 API, 관리자 페이지, 원격 업데이트 기능까지 포함된 복합 IT 시스템입니다.

최근 공개된 두 개의 취약점,

CVE-2025-55182

웹 애플리케이션 로직 취약점

CVE-2025-66478

Next.js App Router 취약점

⚠️ 이것은 단순한 “웹 개발자용 보안 이슈”가 아닙니다

의료기기 제조사와 헬스케어 서비스 기업이 반드시 주목해야 할 신호입니다.

💡 CVE(Common Vulnerabilities and Exposures)란?

공개적으로 관리되는 소프트웨어 취약점 식별 체계로, 실제 공격에 악용될 수 있는 보안 문제를 공식적으로 정의한 번호입니다.

특히 의료기기와 같이 규제 대상 시스템에서는 CVE 존재 여부 자체가 사이버 보안 리스크 평가와 침투 테스트 필요성을 판단하는 중요한 기준이 됩니다.

CVE-2025-55182 – 웹 애플리케이션 로직 신뢰 붕괴

CVE-2025-55182는 특정 웹 애플리케이션 구조에서 서버가 신뢰하면 안 되는 입력을 신뢰하도록 유도할 수 있는 취약점으로 분류됩니다.

취약점 특징

인증·인가 로직 우회 가능성

서버 상태 조작

내부 API 호출 흐름 변조

의료기기 웹 서비스에서의 영향

🚨 Safety & Security 동시 위협

  • 의료 영상 조회 권한 우회
  • 환자 데이터 접근 통제 실패
  • 관리자 전용 기능 노출

FDA, CE, IEC 81001-5-1 관점에서는 이 자체가 Safety & Security 동시 위협입니다.

CVE-2025-66478 – Next.js App Router의 구조적 리스크

Next.js App Router는 최근 의료·헬스케어 웹 서비스에서도 널리 사용되고 있습니다.

문제는 “편리함”이 보안 가정을 바꿔버린다는 점입니다. CVE-2025-66478은 App Router 기반 애플리케이션에서 서버 컴포넌트와 클라이언트 경계가 잘못 설정될 경우, 민감한 로직이 외부에 노출될 수 있음을 보여줍니다.

취약점 메커니즘

1

서버 전용 코드가 클라이언트 경로에서 실행

서버에서만 실행되어야 할 코드가 클라이언트 측에서 노출

2

인증 정보가 포함된 내부 API 호출 노출

민감한 API 엔드포인트 및 인증 토큰 유출 가능

3

환경 변수 및 의료 데이터 처리 로직 유출

데이터베이스 접속 정보, 암호화 키 등 노출 위험

의료기기 웹 서비스에서의 영향

  • 환자 식별 정보(PII/PHI) 노출
  • 진단 결과 조회 API 무단 호출
  • 관리자 기능 오남용

이건 단순한 웹 취약점이 아니라 의료기기 사이버 보안 컴플라이언스 실패 요건입니다.

“우리는 최신 프레임워크를 쓰고 있습니다”는 더 이상 안전하지 않습니다

많은 의료기기 제조사가 이렇게 말합니다.

“Next.js 최신 버전이고, 보안 패치도 적용했습니다.”

하지만 실제 침투 테스트를 해보면 전혀 다른 결과가 나옵니다.

실제 점검 결과에서 발견되는 문제점

  • 프레임워크는 최신, 보안 설정은 기본값
  • 인증 로직은 있음, 우회 시나리오 검증 없음
  • 코드 리뷰는 있음, 공격자 관점 테스트 부재

👉 CVE는 ‘입구’일 뿐, 진짜 위험은 구현 방식에 있습니다.

이런 조직이라면 지금 점검이 필요합니다

Next.js / React 기반 웹 대시보드를 사용하는 의료기기

클라우드 기반 의료 데이터 서비스

FDA 510(k), CE MDR, eSTAR 제출을 앞둔 제품

과거 침투 테스트가 프레임워크 업데이트 이전에 수행된 경우

CVE-2025-55182, CVE-2025-66478은 시작일 뿐입니다. 지금 구조를 점검하지 않으면, 다음 취약점은 더 치명적일 수 있습니다.

와이즈컴퍼니(주) 사이버 보안 시험 및 문서화 서비스

1

사이버 보안 시험

  • Vulnerability Assessment
  • Penetration Testing (Web / Mobile / API / Cloud / IoT)
  • 재시험(Retest) 무제한 지원

2

사이버 보안 문서화

  • Threat Modeling
  • Cybersecurity Risk Management
  • SBOM 생성 및 취약점 관리
  • MFDS / FDA / CE 제출용 문서 패키지

3

국내·해외 인허가 동시 대응

하나의 시험·문서로 국내(MFDS) + 미국(FDA) + 유럽(CE) 활용 가능

의료기기 사이버 보안 점검 체크리스트

  • Next.js / React 기반 웹 서비스 사용 여부 확인
  • CVE-2025-55182, CVE-2025-66478 영향 범위 분석
  • 서버-클라이언트 경계 설정 검토
  • 인증·인가 로직 우회 시나리오 테스트
  • 민감한 환경 변수 및 API 노출 여부 점검
  • 침투 테스트 최근 수행 이력 확인
  • FDA/CE/MFDS 사이버 보안 요구사항 준수 확인